網絡設備:1臺USG2130,若干S2700交換機
客戶需求:交換機上劃分VLAN,並在USG2130上做單臂路由,同時要求三個網段之間可以互訪,而且三個網段都是可以上INTERNET
由於USG2130僅有一個三層接口WAN口,支持子接口的端口也是WAN口(即E0/0/0),基於目前需求,現須將該端口作爲內網接口。再通過創建VLAN,將其中一個VLAN接口作爲互聯網接口。
若將各VLAN放在同一個區域,實現VLAN間訪問控制比較複雜。若將各VLAN子接口劃分到不同的區域,通過域間包濾的方式實現,既簡單又可靠。
重要配置如下:
1、進入子接口,配置IP地址,並進行802.1Q封裝。
[USG2130]int e0/0/0.1
[USG2130-Ethernet0/0/0.1]description VLAN10
[USG2130-Ethernet0/0/0.1]ip address 192.168.1.1 24
[USG2130-Ethernet0/0/0.1]vlan-type dot1q 10
[USG2130]int e0/0/0.2
[USG2130-Ethernet0/0/0.2]description VLAN20
[USG2130-Ethernet0/0/0.2]ip add 192.168.2.1 24
[USG2130-Ethernet0/0/0.2]vlan-type dot1q 20
[USG2130-Ethernet0/0/0.2]description VLAN20
[USG2130-Ethernet0/0/0.2]ip add 192.168.2.1 24
[USG2130-Ethernet0/0/0.2]vlan-type dot1q 20
[USG2130]int e0/0/0.3
[USG2130-Ethernet0/0/0.3]description VLAN30
[USG2130-Ethernet0/0/0.3]ip add 192.168.3.1 24
[USG2130-Ethernet0/0/0.3]vlan-type dot1q 30
[USG2130-Ethernet0/0/0.3]description VLAN30
[USG2130-Ethernet0/0/0.3]ip add 192.168.3.1 24
[USG2130-Ethernet0/0/0.3]vlan-type dot1q 30
2、創建用於連接互聯網的VLAN,並配置IP。
[USG2130]interface Ethernet1/0/0
[USG2130-Ethernet1/0/0]ip address 192.168.100.1 24
[USG2130-Ethernet1/0/0]description TO-INTERNET
[USG2130]interface Ethernet1/0/0
[USG2130-Ethernet1/0/0]ip address 192.168.100.1 24
[USG2130-Ethernet1/0/0]description TO-INTERNET
3、將端口分別加入對應的區域
[USG2130]firewwall zone trust
[USG2130-zone-trust]add interface e0/0/0.1
[USG2130-zone-trust]add interface e0/0/0.2
[USG2130-zone-trust]add interface e0/0/0.3
[USG2130]firewall zone untrust
[USG2130-zone-untrust]add interface e1/0/0
4、完成NAT配置
[USG2130]firewall interzone trust untrust outbound
[USG2130-interzone-trust-untrust]policy 10
[USG2130-interzone-trust-untrust-policy10]source 192.168.0.0 255.255.0.0
5、在交換機和防火牆之間連接的端口可以直接使用TRUNK端口,其他VLAN的配置和VLAN的配置一樣,這樣就可以通過防火牆進行VLAN間的通信。